La réglementation DORA sur la résilience opérationnelle numérique

Comment se préparer à son entrée en application d’ici janvier 2025 ?

Le 16 janvier 2023, le règlement DORA et la directive associée sont entrés en vigueur, après leur adoption par le Conseil de l'Union européenne en novembre 2022. Il s’agit d’un cadre réglementaire innovant qui s'attaque aux risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques ainsi que par la multiplication de cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur financier.

Cette initiative s’inscrit dans le cadre de la stratégie en matière de finance numérique de la Commission européenne qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des consommateurs.

Ce nouveau cadre réglementaire comprend deux actes législatifs :

  • Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (dit règlement DORA). Il définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l'information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
  • La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022. Elle a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, …afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.

Le règlement DORA apporte, dans un seul acte législatif et pour la première fois de l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE.

De la gestion du risque informatique et cyber à la résilience opérationnelle numérique

Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l’information et de la communication (TIC).

Le concept de résilience opérationnelle met ainsi l’accent sur la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus large et proactive. Cette dernière part du principe que les incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.

Cette approche requiert de développer une connaissance fine du fonctionnement des activités de l’entreprise y compris de son écosystème afin d’identifier les risques et les menaces mais également d’évaluer les niveaux de perturbations acceptables pour l’organisation mais aussi du point de vue du client. Cette dynamique améliore l’agilité et la réactivité de l’organisation ce qui contribue à renforcer la confiance et la fidélité des clients.

Ainsi, il s’agit pour les entités financières d’appréhender le règlement DORA non pas comme une nouvelle contrainte réglementaire mais comme une réelle opportunité de se différencier sur le marché en renforçant leur résilience opérationnelle sur les risques informatiques, de cybersécurité, de continuité d’activité et sur les risques liés aux tiers.

Qui est concerné par la nouvelle réglementation DORA ?

Le règlement DORA s’applique à un très large éventail d’entités financières du secteur financier (établissements de crédit, entreprises d’investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance…) ainsi qu’aux prestataires de services TIC qui opèrent au sein de l’Union européenne dans les services financiers.

Quel est le calendrier d’application ?

DORA : les dates clés

Le règlement DORA s’appliquera directement à l’ensemble des États membres de l'UE à partir du 17 janvier 2025. Au cours des deux prochaines années, la Commission européenne publiera des actes délégués sur la base des projets finaux de normes réglementaires techniques et d’exécution (RTS et ITS) qui seront soumis conjointement par les autorités européennes de surveillance (EBA, EIOPA, ESMA). Ces textes viendront préciser certaines exigences du règlement DORA (niveau 1) et constitueront le niveau 2 de ce nouveau cadre réglementaire unifié visant à renforcer la résilience opérationnelle numérique du secteur financier.

La directive 2022/2556 devra, quant à elle, être transposée par les États membres d’ici le 17 janvier 2025.

Les entités financières et les prestataires de services TIC doivent dès à présent s’y préparer en analysant ces nouvelles exigences et en évaluant leurs impacts opérationnels mais aussi stratégiques.

Le règlement DORA identifie et propose des exigences relatives à 5 piliers essentiels de la résilience opérationnelle numérique que les institutions financières doivent mettre en œuvre.

Quels sont les 5 piliers à appréhender pour encadrer la résilience opérationnelle numérique ?

Le dispositif de gestion des risques liés aux TIC

Les entités financières doivent disposer d’un dispositif de gestion des risques liés aux TIC solide, complet et bien documenté, qui leur permet de parer à ces risques de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.

Intégré au dispositif global de gestion des risques, il s’appuie sur une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du dispositif. Il doit être amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi.

La gestion et le reporting des incidents TIC et des cybermenaces

Au cœur du règlement DORA, l'harmonisation de la notification des incidents liés aux TIC est un enjeu majeur. Cela permettra aux autorités de surveillance de réagir plus rapidement face à des cybermenaces, tout en aidant les entités financières à mieux comprendre l'évolution du paysage des menaces. Dans le cadre de ce pilier, les entités financières doivent définir et mettre en œuvre un processus de gestion des incidents TIC afin de détecter, de gérer et de notifier les incidents TIC.

Elles doivent enregistrer et classer tous les incidents liés aux TIC et les cybermenaces importantes selon les critères détaillés dans le règlement DORA et qui seront précisés par les autorités européennes de surveillance (ou AES : EBA, EIOPA et ESMA). Les incidents majeurs liés aux TIC doivent être reportés aux membres de la Direction et à l’organe de direction, et être déclarés aux autorités compétentes dans des délais et au moyen d’un modèle commun qui seront définis par les AES. Les entités financières pourront également, sur une base volontaire, déclarer les cybermenaces importantes.

Les tests de la résilience opérationnelle numérique

Les entités financières, autres que les microentreprises, doivent établir, maintenir et réexaminer régulièrement un programme de tests de résilience opérationnelle numérique faisant partie intégrante du dispositif de gestion des risques liés aux TIC.

Le programme de tests de résilience numérique doit :

  1. Comprendre un large éventail d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer
  2. Couvrir les outils et les systèmes TIC et, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes
  3. S’assurer de la conduite des tests par des parties indépendantes internes ou externes
  4. Prévoir des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests
  5. Définir des procédures de revue et de validation de la mise en œuvre des plans de remédiation 

Les entités financières d’importance significative et cyber matures, désignées par les autorités compétentes, devront effectuer au moins tous les trois ans des tests avancés au moyen de tests de pénétration fondés sur la menace (« Threat-Led Penetration Testing » ou « TLPT »).

Pour en savoir plus : DORA : vers une évolution des pratiques de tests pour intégrer les enjeux de résilience opérationnelle numérique

La gestion des risques liés aux prestataires de services TIC

Le règlement DORA introduit une harmonisation des exigences existantes en matière de gestion des risques liés aux tiers prestataires de services TIC. Les entités financières doivent notamment :

  • Définir une stratégie en matière de risques liés aux tiers prestataires de services informatiques

  • Définir une politique d'utilisation des services TIC concernant les fonctions critiques ou importantes

  • Tenir à jour un registre d’informations portant sur tous les contrats conclus avec les tiers prestataires de services TIC

  • Conduire des diligences avant l’entrée en relation et notamment évaluer le risque de concentration

  • Inclure dans les contrats des clauses standard minimales notamment en matière de résiliation

  • Mettre en œuvre une surveillance continue de la relation

Le règlement DORA introduit également un mécanisme de surveillance direct des prestataires de services TIC critiques par les AES au niveau de l’UE.

Le partage d’informations en matière de cybersécurité

Le règlement DORA encourage vivement les entités financières à partager les renseignements et les informations sur les cybermenaces au sein de communautés d’entités financières de confiance. Cette démarche vise à sensibiliser aux cybermenaces et à soutenir les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation, de réponse et de rétablissement du secteur financier.

Règlement DORA : comment s’y préparer ? 

Découvrez les 10 enjeux clés pour réussir votre mise en conformité, issus des principaux messages et témoignages de la conférence « Règlement DORA : Décryptage, enjeux et partage d'expériences » organisée le 24 novembre 2022 par PwC France et Maghreb. 

Découvrez le livre blanc

Comment nos experts PwC peuvent vous accompagner ?

PwC France et Maghreb a constitué une équipe d’experts pluridisciplinaire afin de vous accompagner sur vos enjeux de mise en conformité aux nouvelles exigences de DORA et vous aider à renforcer votre résilience opérationnelle numérique.

Une expertise pluridisciplinaire

Afin d’apporter une approche globale et coordonnée, PwC France et Maghreb a mis en place une équipe dédiée DORA composée d’experts pluridisciplinaires habitués à collaborer ensemble :

  • des experts en matière de gestion des risques liés aux TIC, de sécurité, de cybersécurité, de gestion de crise, de continuité des activités qui disposent d’une connaissance métier et sectorielle permettant de répondre à vos enjeux de résilience opérationnelle numérique.
  • des experts réglementaires et juridiques : ils vous accompagnent tout au long du projet pour vous aider à décrypter les exigences (règlement, RTS, ITS …), leur périmètre d’application et les responsabilités qui en découlent. Nos experts vous aident à prendre en compte les aspects juridiques liés à vos enjeux de résilience opérationnelle numérique notamment lors de la revue des contrats avec les prestataires de services TIC.

Des solutions digitales et des accélérateurs

Nos experts DORA déploient des solutions digitales et des accélérateurs pour suivre l’état d’avancement du projet, construire la feuille de route, ainsi qu’élaborer des tableaux de bord consolidés sur la résilience opérationnelle numérique.

Un réseau mondial

Nos experts DORA sont connectés avec les experts du réseau PwC pour partager leurs expériences et connaissances des exigences et des meilleures pratiques en matière de résilience opérationnelle numérique au niveau européen et international.

Suivez-nous !

Contactez-nous

Romain Camus

Romain Camus

Associé, Gestion des risques technologiques, secteur Banque, PwC France et Maghreb

Karine Pariente

Karine Pariente

Associée, Gestion des risques technologiques, secteur Assurance, PwC France et Maghreb

Jamal Basrire

Jamal Basrire

Associé en charge du développement des activités Techno, PwC France et Maghreb

Masquer